1. Nhận Dạng: Bước Khởi Đầu của Mọi Kiểm Soát Truy Cập
Nhận dạng là quá trình xác định danh tính của một chủ thể, thường là người dùng hoặc thiết bị. (Chú ý là người dùng và thiết bị). Việc nhập tên người dùng, trình bày giấy tờ tùy thân, địa chỉ IP, hoặc thậm chí phát âm tên mình là những ví dụ về hành vi nhận dạng. Ví dụ khi bạn đến ngân hàng, họ hỏi bạn Căn Cước Công Dân. Đó là quá trình họ xác định danh tính của bạn.
Một danh tính an toàn cần thỏa mãn ba yếu tố:
Tính duy nhất: Mỗi tài khoản người dùng phải khác biệt để dễ theo dõi và giám sát.
Không mô tả: Tên tài khoản không nên tiết lộ chức năng hay vai trò, ví dụ “admin” là tên mô tả, nghe tên nick là thấy ngầu rồi; trong khi “om1444ma” thì không.
Cấp phát an toàn: Việc tạo và phê duyệt tài khoản phải thông qua quy trình kiểm soát nghiêm ngặt.
Ngoài ra, danh tính còn có thể dựa trên vị trí – cho phép xác minh dựa trên địa lý của người dùng. Ví dụ: HCM_Admin, Hanoi_Admin...
Các nguyên tắc nhận dạng cơ bản:
Không có hai người dùng sử dụng cùng một tài khoản.
Tên tài khoản không tiết lộ thông tin vai trò/chức năng.
Cần có quy trình xác minh và phê duyệt trước khi cấp tài khoản.
Có thể bổ sung yếu tố vị trí làm căn cứ xác định danh tính.
2. Xác Thực: Chứng Minh Bạn Là Ai Như Bạn Khẳng Định
Xác thực (Authentication) là quá trình kiểm tra xem người dùng có thực sự là ai như họ tuyên bố hay không. Xác thực thường dựa trên ba yếu tố cơ bản:
Thứ bạn biết (Something you know)
Thứ bạn có (Something you have)
Thứ bạn là (Something you are)
2.1. Xác thực dựa trên kiến thức BẠN BIẾT
Đây là phương pháp phổ biến nhất – người dùng cung cấp thông tin chỉ họ biết, ví dụ: mật khẩu, mã PIN, hoặc câu trả lời bảo mật.
Những rủi ro đi kèm:
Nếu mật khẩu bị lộ, kẻ tấn công có thể truy cập hệ thống.
Tấn công brute-force, dictionary hoặc kỹ thuật social engineering dễ dàng phá mật khẩu yếu.
Việc sử dụng lại mật khẩu trên nhiều nền tảng làm tăng nguy cơ bị xâm nhập chuỗi (credential stuffing).
Thực tiễn tốt nhất:
Mật khẩu dài ≥ 8 ký tự (tốt hơn là dài hơn).
Có độ phức tạp: chữ hoa/thường, số, ký tự đặc biệt.
Thường xuyên thay đổi mật khẩu.
Không sử dụng lại mật khẩu giữa các hệ thống.
Lưu ý: Không nên bật lưu thông tin đăng nhập hoặc tự động đăng nhập trên thiết bị công cộng hoặc không giám sát.
2.2. Xác thực dựa trên sở hữu
Người dùng chứng minh danh tính bằng cách sở hữu một vật thể cụ thể:
Mã OTP (One-Time Password): Gửi qua ứng dụng, SMS, email hoặc token vật lý. OTP chỉ dùng một lần – kể cả bị chặn thì cũng vô dụng sau đó.
Thẻ nhớ (memory card): Chứa thông tin nhận dạng như trên dải từ, ví dụ: thẻ ATM.
Thẻ thông minh (smart card): Có chip vi xử lý, hỗ trợ mã hóa, OTP hoặc cơ chế thử thách-phản hồi.
Xác thực ngoài băng tần (out-of-band): Sử dụng kênh thứ hai như gọi điện, gửi mã qua SMS sau khi nhập tên và mật khẩu.
Điểm yếu tương tự như yếu tố kiến thức: nếu bị mất thiết bị, xác thực cũng bị phá vỡ.
2.3. Xác thực dựa trên đặc điểm (sinh trắc học)
Đây là xác thực bằng chính bản thân người dùng – một yếu tố khó giả mạo.
Đặc điểm sinh lý phổ biến:
Vân tay. Gần đây AI đã chứng minh dấu vân tay có thể trùng lắp (nghiên cứu mới nhất!!!)
Nhận diện khuôn mặt
Võng mạc, mống mắt
Hình dạng bàn tay, tĩnh mạch, máu
Giọng nói
Đặc điểm hành vi:
Mô hình gõ phím
Động lực chữ ký
Dù mang lại tính duy nhất cao, sinh trắc học cũng cần xử lý cẩn trọng để đảm bảo không bị lộ dữ liệu sinh học – vốn không thể thay thế như mật khẩu.
3. Xác thực đa yếu tố và đa tầng
Xác thực đơn yếu tố (SFA): Chỉ sử dụng một yếu tố (thường là mật khẩu).
Xác thực đa yếu tố (MFA): Kết hợp từ ít nhất hai nhóm yếu tố khác nhau (ví dụ: mật khẩu + OTP).
Xác thực đa tầng (multi-layer): Nhiều yếu tố nhưng thuộc cùng một loại (ví dụ: hai mật khẩu khác nhau). Mật khẩu mức 1 để truy cập dịch vụ thấp, mật khẩu su để vào quyền root.
MFA là biện pháp ngày càng phổ biến để chống lại tấn công đánh cắp thông tin xác thực. Nhiều doanh nghiệp, dịch vụ công và cả game thủ hiện đều sử dụng MFA để bảo vệ tài khoản.
Kết luận
Nhận dạng và xác thực là hai bước riêng biệt nhưng luôn đi cùng nhau. Nhận dạng để khai báo “tôi là ai”, xác thực để chứng minh “tôi đúng là người đó”.
Trong môi trường an ninh mạng hiện đại, nơi các mối đe dọa phát triển nhanh chóng, việc áp dụng đa yếu tố xác thực, kết hợp với quy trình cấp phát danh tính an toàn, là yếu tố then chốt để ngăn ngừa truy cập trái phép và bảo vệ tài nguyên thông tin quan trọng.
